CHECK LIST DELLE MISURE DI SICUREZZA ADOTTATE DA UNIMATICA SPA, NELLA SUA QUALITA DI RESPONSABILE DEL TRATTAMENTO, AI SENSI DELL ART.

Documenti analoghi
ELENCO MISURE DI SICUREZZA

GDPR - Audit Checklist DATA PROTECTION GAP ANALYSIS

GDPR. Il nuovo Regolamento Privacy Europeo. Sicurezza Informatica. Prevenzione, protezione dei sistemi, obblighi e responsabilità dei Titolari

La gestione amministrativa e contabile è affidata da uno studio di consulenza esterno? (se si indicare Ragione sociale e indirizzo)

IL CANTIERE GDPR APPROCCIO PER VALUTARE L ADEGUAMENTO ALLE NORME REGOLAMENTO GENERALE SULLA PROTEZIONE DEI DATI (REG.

IL GDPR E LA COMPLIANCE. Strumenti a servizio della sicurezza dei sistemi informativi

PREPARARSI ALLA NUOVA PRIVACY: CONOSCERE ED APPLICARE IL GDPR IN AZIENDA GESTIRE LA SICUREZZA INFORMATICA

PRIVACY IN SANITÀ. Syllabus Versione 1.0

Alessandro Gaspari Data Center Specialist

Sample test Informatica Giuridica modulo: Protezione dati personali: Privacy e Sicurezza

ALLEGATI. A) Registro attività di trattamento

Privacy e aziende: Whistleblowing e controlli sui lavoratori alla luce del nuovo regolamento

DESIGNAZIONE DI RESPONSABILE ESTERNO DEL TRATTAMENTO DEI DATI. Responsabile interno del trattamento dati

Kineo Energy e Facility S.r.l. Via dell Arcoveggio, Bologna (BO) Tel: Fax: C.F.-P.IVA-R.I.

TAB 3 Riepilogo delle misure di sicurezza

Daniele Gombi IL SISTEMA DI GESTIONE DELLA SICUREZZA DELLE 4 INFORMAZIONI: UNA "NECESSARIA" OPPORTUNITÀ

Seminario sul suo recepimento in ISS

Allegato D MISURE DI SICUREZZA PER LA PROTEZIONE DEI DATI

Pianificazione e Controllo Attività

ALLEGATO N. 5. I - Misure di carattere generale

Registro delle attività di trattamento del Titolare

CENTURION PAYROLL SERVICE SRL PRIVACY POLICY

Ai sensi dell'articolo 13 e 14 del GDPR 2016/679, pertanto, Le forniamo le seguenti informazioni:

REGOLAMENTO RECANTE NORME PER L INDIVIDUAZIONE DELLE MISURE MINIME DI SICUREZZA PER IL TRATTAMENTO DEI DATI PERSONALI

PRIVACY POLICY- STUDIO DOTT. MONICA MELANI CDL PRIVACY POLICY

INDICE. Sezione Prima - ASPETTI GENERALI. Sezione Seconda - FIGURE PRIVACY

[ ] il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento;

DOCUMENTO PROGRAMMATICO SULLA SICUREZZA

COMUNE DI CORIANO PROVINCIA DI RIMINI

GDPR AUDIT CHECK LIST TECNICA Ver 1.8 del 26/04/2018

Verso il nuovo Regolamento Europeo Privacy

Allegato DPS n. 5 Provincia di Latina

Istituto Comprensivo Statale 10 Vicenza. Provincia di VI. Documento Programmatico sulla Sicurezza ALLEGATO B. Adozione delle Misure di Sicurezza

REGOLAMENTO EUROPEO SULLA TUTELA DEI DATI PERSONALI GDPR (2016/679)

INFORMATIVA ESTESA SUL TRATTAMENTO DEI DATI PERSONALI

1. SCOPO E AMBITO DI APPLICAZIONE RUOLI PREVISTI UFFICI COINVOLTI... 6

ALLEGATO 1. Istruzioni per i responsabili interni

Spett.le DR. LETTERA DI NOMINA. Responsabile del trattamento

Programma. in collaborazione con

REPERTORIO DELLE QUALIFICAZIONI PROFESSIONALI DELLA REGIONE CAMPANIA

ORGANIZZAZIONE, ADEMPIMENTI E ATTORI DEL NUOVO REGOLAMENTO. Michela Massimi

Innovando GmbH Dorfstrasse, Gonten Tel: P.IVA CHE

Sistemi informativi in ambito sanitario e protezione dei dati personali

INFORMATIVA ESTESA SUL TRATTAMENTO DEI DATI PERSONALI

PRINCIPALI ADEMPIMENTI, RESPONSABILITÀ E SANZIONI NEL CODICE DELLA PRIVACY

InfoCamere: Sicurezza degli asset digitali delle CCIAA italiane. Enrico Notariale 14/12/2017

Le figure previste dal GDPR: ruoli e responsabilità

Sistema Informativo Unitario Regionale per la Programmazione (S.I.U.R.P.) LA SICUREZZA INFORMATICA

IL NUOVO REGOLAMENTO EUROPEO IN MATERIA DI PROTEZIONE DEI DATI PERSONALI: DA OBBLIGO A OPPORTUNITÀ

Claudio Terlizzi Data Protection Officer. 23/01/2019 Università Magna Grecia di Catanzato

REGOLAMENTO COMUNALE PER LA VIDEOSORVEGLIANZA

Ruoli e responsabilità nel sistema GDPR. 25 luglio dott. Simone Chiarelli

Azienda Servizi alla Persona A.S.P. Carlo Pezzani. Provincia di Pavia. Documento di Adozione delle Misure Minime di Sicurezza ALLEGATO A

Ministero dell Interno Dipartimento per gli Affari Interni e Territoriali Direzione Centrale per i Servizi Demografici

Ciclo di incontro formativi Lezioni di aggiornamento anno 2019

SPA-BA s.r.l. Assessment: 24 maggio 2018 GDPR. via sorelle Girelli, 55 - Poncarale (Bs)

REGOLAMENTO INTERNO Privacy e riservatezza

REGISTRO DELLE ATTIVITA DI TRATTAMENTO DATI PERSONALI

PIANO PER LA SICUREZZA INFORMATICA ANNO 2015

DISCIPLINARE TECNICO IN MATERIA DI MISURE MINIME DI SICUREZZA ANNO 2018

MISURE MINIME DI SICUREZZA

CERTIFICAZIONI INFORMATICHE

Registro delle attività di trattamento (art. 30 c. 1 e 2 Regolamento UE 2016/679 - GDPR)

COMUNE DI BORGONE SUSA CITTA METROPOLITANA DI TORINO

Proposta Adeguamento GDPR rev Servizi & Prezzi Compliance GDPR EU 2016/679

Associazione Nazionale per Operatori e Responsabili della Conservazione Digitale. mail:

BIANCA MARIA BARON & VALERIA ANDRETTA

Policy Argo Software in materia di protezione e disponibilità dei dati relativi ai servizi web

La privacy per lo studio legale

Nuovo Regolamento Europeo sulla Privacy: da sempre Fulcri in prima linea. 25 novembre PharmExpo

REGISTRO DELLE ATTIVITA DI TRATTAMENTO DATI PERSONALI

INFORMATIVA ESTESA SUL TRATTAMENTO DEI DATI PERSONALI

Servizio Calcolo e Reti

Privacy in azienda: Il GDPR e l impatto sulle aziende

Politica Protezione dei Dati Personali

Trattamenti con strumenti elettronici

CONFERIMENTO INCARICO DI RESPONSABILE ESTERNO PREMESSO CHE

Registro delle attività di trattamento (art. 30 c. 1 e 2 Regolamento UE 2016/679 - GDPR)

Il GDPR: inquadramento generale e cosa stanno facendo le Aziende

LA GESTIONE DEGLI OUTSOURCER COME RESPONSABILI E SUB-RESPONSABILI DEL TRATTAMENTO

REGISTRO DELLE ATTIVITA DI TRATTAMENTO DATI PERSONALI

Disciplina per il trattamento dei dati personali da parte del Responsabile del trattamento Versione 1.0 del 13/05/2017

ORDINE PROVINCIALE DEI MEDICI CHIRURGHI E DEGLI ODONTOIATRI RAVENNA. Le novità introdotte dal Regolamento UE

REGOLAMENTO COMUNALE PER L INSTALLAZIONE E LA TENUTA DEGLI IMPIANTI DI VIDEOSORVEGLIANZA

DIREZIONE SERVIZI TERRITORIALI INTEGRATI SERVIZIO QUARTIERI E SPORTELLI AL CITTADINO U.R.P. INFORMATIVA DETTAGLIATA

indirizzo

Documento Programmatico sulla Sicurezza. Nelle pagine successive, si trovano i Modelli utili per ottenere il documento programmatico sulla sicurezza

Ai sensi dell'articolo 13 e 14 del GDPR 2016/679, pertanto, Le forniamo le seguenti informazioni:

Cos è il GDPR? General Data Protection Regulation

GDPR: accountability e approccio dell OdI

ISTITUTO TECNICO TECNOLOGICO M.Buonarroti A.Pozzo

INFORMATIVA DETTAGLIATA

Transcript:

CHECK LIST DELLE MISURE DI SICUREZZA ADOTTATE DA UNIMATICA SPA, NELLA SUA QUALITA DI RESPONSABILE DEL TRATTAMENTO, AI SENSI DELL ART. 32 DEL GDPR Gentile Cliente, il 25 maggio 2018 è entrato in vigore il Regolamento dell Unione Europea n. 679/2016 sulla protezione dei dati, noto anche come GDPR, e dato che la tutela dei dati personali è per noi molto importante, le indichiamo di seguito come Unimatica S.p.A., nella sua qualità di Responsabile del trattamento dei dati trattati per suo conto come da nomina ricevuta, si impegna ad adempiere alle prescrizioni del GDPR e ad applicare adeguate misure di sicurezza al fine di preservare la riservatezza dei suoi dati personali. Garanzie Istruzioni Organigramma interno DPO Riservatezza Diritti dell'interessato Violazioni della sicurezza Valutazione d'impatto Cancellazione dati Responsabilizzazione (accountability) Verifica (audit) Il Responsabile garantisce la messa in atto di misure tecniche ed organizzative adeguate a soddisfare i requisiti del GDPR ed assicurare la tutela dei diritti dell'interessato. Come da nomina, il Responsabile ha ricevuto dal Titolare idonee istruzioni su: a. natura, finalità e durata del trattamento b. tipo di dati e categorie di Interessati c. obblighi e diritti del Titolare Il Responsabile tratta i dati solo nei limiti delle istruzioni ricevute. Il Responsabile nomina "Incaricati del Trattamento" i propri addetti che accedono a dati personali e provvede alla loro formazione. Il Responsabile può anche nominare figure di "Responsabile interno". Il Responsabile ha nominato un Data Protection Officer (DPO). I dati di contatto del responsabile della protezione dei dati sono i seguenti: dpo@unimaticaspa.it. Le persone autorizzate dal Responsabile a trattare i dati personali sono impegnate alla riservatezza. Il Responsabile adotta misure di sicurezza adeguate, come indicate dal Titolare e previste dall'art 32 del GDPR, e assiste il Titolare nell'adozione delle stesse. Il Responsabile, su richiesta, assiste il Titolare nel dare seguito a richieste degli Interessati di esercitare i propri diritti. In caso di violazione dei dati personali (data breach), il Responsabile, su richiesta, assiste il Titolare nella notifica al Garante e nella eventuale comunicazione agli Interessati. Il Responsabile, su richiesta, assiste il Titolare nel caso si renda necessaria una valutazione dell'impatto dei Trattamenti sulla protezione dei dati personali ed una eventuale consultazione preventiva del Garante Al termine della prestazione dei Servizi il Responsabile restituisce o cancella i dati e le copie esistenti, salvo non sussista un proprio interesse legittimo che ne consenta la conservazione. Il Responsabile mette a disposizione del Titolare le informazioni per dimostrare il rispetto degli obblighi. Il Responsabile collabora, su richiesta, con le revisioni ed ispezioni da parte del Titolare o altro soggetto indicato. pag. 1 di 5

Registro dei Trattamenti Sub-fornitore Cooperazione col Garante Il Responsabile tiene un Registro dei Trattamenti. Il Responsabile è autorizzato dal Titolare a ricorrere ad un sub-fornitore (e nominarlo Responsabile). Il sub-fornitore deve garantire contrattualmente gli stessi obblighi in materia di protezione dei dati imposti dal Titolare al Responsabile. Il Responsabile coopera, su richiesta del Titolare, con l'autorità di controllo nell'esecuzione dei suoi compiti. Di seguito si indicano nel dettaglio le misure adottate dal Responsabile del trattamento ai sensi dell art. 32 del GDPR. N. Area Misura Note 1 Politiche Aziendali 2 Organizzazione L'Azienda possiede, applica, controlla e revisiona regolarmente una politica della sicurezza e l'ha resa nota a tutti gli incaricati. Ogni incaricato ha ricevuto lettera formale d'incarico, con specificati i suoi compiti, quali dati può trattare e per quali finalità 3 Organizzazione Tutti i collaboratori dell'azienda hanno ricevuto formazione rispetto ai principi di sicurezza ICT e della norma GDPR 4 Organizzazione Esiste una politica formale, effettivamente attuata, per evitare sovrapposizione di incarichi in conflitto d'interesse fra loro. 5 Controllo Accessi Esiste una politica formale, effettivamente attuata, per cui ad ogni incaricato sono assegnate una o più credenziali (userid e password) e la password è solo a lui o lei nota e riconducibile. 6 Controllo Accessi 7 Controllo Accessi Sono previsti meccanismi di autenticazione "forte" (a due fattori) per accedere a dati particolari (sensibili o giudiziari) o critici. Sui sistemi sono previsti meccanismi per prevenire l'uso di password "deboli" da parte degli utenti 8 Controllo Accessi Esiste una politica formale, effettivamente attuata, per cui sui sistemi, sulle applicazioni e sulle banche dati le password sono salvate con tecniche crittografiche e non in chiaro 9 Controllo Accessi Su tutti i sistemi sono previsti meccanismi per sospendere utenze inutilizzate per oltre sei mesi non attivati sui sistemi nei quali l'utilizzo è tipicamente sporadico (una o due volte all'anno) in base alle necessità pag. 2 di 5

10 Controllo Accessi 11 Controllo Accessi Esiste una procedura formale effettivamente attuata per cancellare prontamente utenze relative ad incaricati che cambiano incarico o lasciano l'azienda Esiste una procedura formale per evitare che uno user-id, precedentemente assegnato ad un incaricato, venga successivamente riassegnato ad altro incaricato 12 Controllo Accessi e Monitoraggio/ Logging Esiste una politica formale effettivamente attuata, ed i relativi meccanismi tecnici per cui gli accessi effettivi, od anche solo tentati, vengono registrati in un collettore di log, ovvero un sistema separato da tutti gli altri ed amministrato da persona non in conflitto di interesse (non da amministratori di altri sistemi) I log, oltre ad essere collezionati centralmente, vengono conservati a norma per garantirne la non alterabilità 13 Crittografia 14 Crittografia 15 Backup Tutte le comunicazioni (ove esistenti) fra le reti locali (LAN) dell'azienda o con LAN di partner sono criptate se attraversano reti pubbliche Se esistono sistemi remoti di Clienti o Fornitori, tutte le comunicazioni fra sistemi e stazioni di lavoro dell'azienda e sistemi remoti di clienti o fornitori sono criptate se attraversano reti pubbliche Esiste una politica formale effettivamente attuata, con i relativi meccanismi automatici, per l'esecuzione almeno giornaliera dei backup su supporti separati 16 Backup E' mantenuto uno storico dei backup per almeno trenta giorni 17 Backup I backup sono criptati 18 Backup 19 Backup 20 Politiche Aziendali I dati sono duplicati in sede separata e distante almeno dieci chilometri in linea d'aria Esiste una politica formale effettivamente attuata per provare, almeno ogni sei mesi, il recupero dei dati dai backup e la verifica dei risultati del recupero. Esiste una procedura formale effettivamente attuata per regolamentare l'uso dei servizi in rete (email, social, dischi in rete) 21 22 Esistono politica formale e relative procedure tecniche effettivamente attuate per rilevare, isolare e prevenire la diffusione dei codici maligni (malware) e revisionata per garantire la protezione da microinterruzioni, sbalzi ed assenza di energia elettrica UPS per sala server e singole Workstation 23 E' stata valutata l'opportunità di installare scaricatori a protezione dell'impianto elettrico struttura autoprotetta, presenti parafulmini nel giardino pag. 3 di 5

24 E' stata valutata l'opportunità di installare gruppi elettrogeni Gruppo presente elettrogeno 25 e periodicamente revisionata per garantire misure adeguate di protezione fisica 26 di condizionamento ambientale per le server room (se esistono) 27 di continuità operativa (Business Continuity Procedure) 28 e periodicamente revisionata per garantire la dismissione sicura dei sistemi e dei supporti 29 Adeguatezza delle misure / Diligenza L'Azienda ha valutato se esistono ulteriori misure di sicurezza non previste in questa lista Vedi punti seguenti 30 di aggiornamento dei sistemi operativi, soprattutto relativamente alle patch di sicurezza 31 Certificazioni L'Azienda è certificata ISO-27001 32 Fisica Sistemi Antintrusione 33 Fisica Sistema di guardiania e sorveglianza 34 Fisica Videosorveglianza Perimetrale 35 Fisica Sistema di Controllo Accessi tramite Badge 36 Fisica Armadi con serratura 37 Fisica Locali chiusi a chiave 38 39 40 41 42 Sistema Antincendio Soluzioni di Intrusion Detection Firewall Rete Privata Virtuale (Intranet) Installazione di Antivirus con aggiornamento costante ed automatico pag. 4 di 5

43 44 45 46 47 48 49 50 51 52 53 Utilizzo di Tecniche di Pseudonimizzazione Istruzioni al personale perché non lasci i terminali incustoditi Blocco dei terminali non utilizzati con ScreenSaver protetto da password personale Vengono adottate procedure di High Availability Esistono siti di Disaster Recovery Effettuazione di Vulnerability Assessment periodici Utilizzo di tecniche di cifratura Sussistenza di Piani di Data Recovery Sussistenza di Piani di Business Continuity Sussistenza di sistemi di Alerting in caso di anomalie Sussistenza di un sistema di Salvataggio e protezione dei Log Per chiarimenti può rivolgersi: all indirizzo email: privacy@pec.unimaticaspa.it dal lunedì al venerdì dalle 09:00 alle 18:00. Le porgiamo i nostri più cordiali saluti. Unimatica S.p.A pag. 5 di 5

2024 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back